De versleutelde chat-app Signal heeft een nieuwe versie uitgebracht waarin de qr-code voor de privacycontrole van gesprekken iets is veranderd. Signal werkt met een "fingerprint" of "veiligheidsgetal", zoals de app het noemt, waarmee gebruikers de privacy van hun communicatie kunnen verifiëren.
Hiervoor moet een getal worden vergeleken of een qr-code worden gecontroleerd. De fingerprint is een geencodeerde hash van de publieke sleutel die voor het versleutelen van de berichten wordt gebruikt. In eerste instantie moesten gebruikers twee qr-codes scannen, maar dat werd vervolgens naar een qr-code teruggebracht. Ook wilden de ontwikkelaars een andere fout verhelpen, namelijk dat gebruikers de qr-code voor het verkeerde contact scanden.
Om gebruikers hiermee te helpen werden de identifiers van beide gebruikers in de qr-code verwerkt. Als de gebruiker de qr-code voor het verkeerde contact scande toonde de app een waarschuwing. "Dit was een fout", aldus Moxie Marlinspike, de man achter Open Whisper Systems, de ontwikkelaar van Signal. Gebruikers bleken namelijk screenshots van hun qr-code via Twitter en andere diensten uit te wisselen, waarbij ze onbedoeld ook de telefoonnummers in de qr-code publiceerden.
In de nieuwste versie zijn deze identifiers uit de qr-code verwijderd. De qr-code bevat hierdoor alleen de fingerprints. Als de gebruiker de fingerprint voor een gesprek met een andere gebruiker publiceert, kan een derde partij die ook over deze fingerprint beschikt weten tussen wie de communicatie plaatsvindt, maar er wordt geen andere communicatie gelekt. Dit zorgt er wel voor dat Signal niet langer in staat is om vast te stellen dat de gebruiker de verkeerde qr-code heeft gescand. "Maar we vonden dat het belangrijker voor gebruikers is om deze qr-codes te delen zonder bang te zijn dat ze een fout maken", aldus Marlinspike.
Deze posting is gelocked. Reageren is niet meer mogelijk.